Grâce à NORTON IDENTITY SAFE (version beta, à tester gratuitement) !!!

Probablement mon outil préféré en la matière, et déjà intégré dans les différents produits Norton, mais cette fois en seul « plugin » de vos navigateurs : Internet Explorer, Chrome, Firefox, Safari et Opéra; ainsi que vos smart-trucs car également disponible pour iOS et Android !

Et tout ça, synchronisé dans un cloud sécurisé !

Rien à ajouter, si ce n’est : l’essayer c’est l’adopter !

Chaque année, à l’occasion de la petite semaine de sports d’hiver helvète réunissant le gratin mondial, un rapport sur les risques globaux est publié. Au delà du côté anxiogène de l’affaire, il reste toujours plus utile de savoir pour anticiper, que de rester dans l’ignorance… A noter cette année, un chapitre important dédié aux risques technologiques dont les « cyber-attaques » et « défaillances de systèmes critiques« .

Voici un court extrait :

Objectives of Cyber Attacks :

Sabotage

• Users may not realize when data has been maliciously, surreptitiously modified and make decisions based on the altered data. In the case of advanced military control systems, effects could be catastrophic. National critical infrastructures are increasingly connected to the Internet, often using bandwidth leased from private companies, outside of government protection and oversight.

Espionage

• Sufficiently skilled hackers can steal vast quantities of information remotely, including highly sensitive corporate, political and military communications.

Subversion

• The Internet can spread false information as easily as true. This can be achieved by hacking websites or by simply designing misinformation that spreads virally. Denial-of-service attacks can prevent people from accessing data, most commonly by using “botnets” to drown the target in requests for data, which leaves no spare capacity to respond to legitimate users.

Voici un des schémas associés :

Le mini-site en cliquant sur l’image :

Et le site du WORLD ECONOMIC FORUM en lui-même : http://www.weforum.org/issues/global-risks

Juste une petite réflexion sur le sujet, alors que les prévisions ou prédictions fleurissent en cette période de l’année et que les avis s’opposent sur leur pertinence…

Lisez plutôt :

« If we are now in the process of transforming the way we create wealth, from the industrial to the informational … the more knowledge-intensive military action becomes, the more nonlinear it becomes; the more a small input someplace can neutralize an enormous investment. And having the right bit or byte of information at the right place at the right time, in India or in Turkistan or in God knows where, could neutralize an enormous amount of military power somewhere else … Think in terms of families. Think in terms of narco-traffickers. And think in terms of the very, very smart hacker sitting in Tehran. »

- Alvin Toffler

Mais le plus intéressant, me semble-t-il, est que cette citation provient d’un article de Wired, daté de 1993 !!!

Et d’ailleurs, pour en savoir plus sur les prédictions passées, tout est là :

Pour ma part, j’attendrais un peu que le peloton soit passé…mais d’ici là, excellente année 2012 !!!

N’en déplaise au Mayas…

 Le pire n’est jamais certain.

Cela sonne comme le titre d’un film de George Romero, mais cela va plutôt enrichir le musée des « cyber-horreurs »…

En effet, des chercheurs de l’université de Columbia auraient mis en évidence la possibilité de prendre le contrôle d’imprimantes laser à distance (en modifiant le micro-code et via la mise à jour du firmware) et du coup, potentiellement leur faire faire pas mal de choses…pas forcément prévues au catalogue :

• Les utiliser comme radiateurs d’appoints, avec fumée en sus (heureusement, un système de contrôle limite la montée en température…enfin normalement)
• Faxer un document envoyé pour impression
• Infecter des ordinateurs connectés
• Participer à un botnet
• …

Bref, la liste pourrait être longue.

S’il est clair que les fabricants vont se pencher sur le sujet, ceci démontre à quel point les vulnérabilités sont partout, pour peu que l’on se donne la peine de les rechercher. Et en la matière, compte tenu de la croissance explosive du nombre et des types de « trucs » connectés (télévisions, consoles de jeux, lecteurs Blu-Ray, voitures…..) l’espace a explorer est plutôt…..vaste.

Inutile de dire que cela étend les domaines d’analyse et de gestion des risques et de plan de reprise d’activité.

La notion de « terminal » doit aussi être étendue des classiques desktop ou laptop, vers les smartphones ou tablettes évidement, mais également aux autres « devices », notamment lors des sessions de mise à jour, qui au minimum devront utiliser des certificats.

Pour mémoire, un concept sur lequel méditer :

« On ne peut protéger que ce que l’on sait gérer. »

L’article complet de MSNBC (en anglais) ici :

p

On l’avait dit et répété, il y a un « avant » et un « après » Stuxnet.

La descendance s’annonce.

Voici donc w32.duqu, dont la principale caractéristique de reprendre plus de 50% du code de « Papa », comme tout bon fiston qui se respecte.En l’occurrence, il est certain que les auteurs ont eu accès au code source de Stuxnet, soit parce qu’il le possédait déjà (!), soit parce qu’ils ont pu se le procurer d’une manière ou d’une autre.

Cette fois, même si le type de cible ultime pourrait être assez proche (autour des systèmes de contrôles industriels), la fonction est bien différente puisque clairement orientée vers le vol d’informations confidentielles

En résumé :

• Nous avons découvert des exécutables utilisant le code de Stuxnet. Ils semblent avoir été développés après la dernière version de Stuxnet.
• Ces programmes sont conçus pour capturer des frappes clavier ainsi que des informations systèmes ou de design.
• L’analyse actuelle ne montre pas de code directement lié à des vulnérabilités de systèmes de contrôles industriels.
• Il ne se réplique pas.
• Ces exécutables ont été identifiés dans un nombre limité d’organisations, incluant notamment la fourniture de systèmes de contrôles industriels.
• Les données exfiltrées pourraient être utilisées par la suite pour lancer des attaques de type Stuxnet.

Des informations plus détaillées sont disponible sur le blog de Symantec Response :

http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet.

Ainsi qu’un « white paper » encore plus fouillé ici :

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf.

Mais les analyses se poursuivent…donc à suivre.

Annoncé depuis novembre 2009 par Bruxelles, le renforcement des mesures de sécurité (et de rétorsion…) vient de se matérialiser via l’ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques du « paquet Télécom », notamment à travers l’article 38.

En bref, un FAI doit dorénavant avertir la CNIL, et le cas échéant l’intéressé, en cas de « disparition » d’informations à caractère personnel.

Les paris sont ouverts : QUI sera le premier à passer au « 20 heures », pour expliquer que, bon, bah, euh, comment dire….on a paumé des trucs !

Les détails du texte : (notez au passage le « susvisée »…j’adore !)

Il est inséré, après l’article 34 de la loi du 6 janvier 1978 susvisée, un article 34 bis ainsi rédigé :

• I. ― Le présent article s’applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification. Pour l’application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.

• II. ― En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.
  La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.
  A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d‘informer également les intéressés.

• III. ― Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.

A ce jour, cette ordonnance impacte essentiellement les fournisseurs d’accès à internet (pas seulement les telcos…), mais il faut s’attendre à un élargissement à d’autres secteurs d’activités (banque, grande distribution, santé…), comme l’annonçait récemment Vivian Reding devant un parterre de banquiers :

Je comprends que l’introduction d’une telle notification systématique serait un fardeau pour certains d’entre vous dans le secteur bancaire. Toutefois, l’obligation de rendre public une perte importante d’informations est nécessaire et améliorerait la confiance des consommateurs.

 

Bon, cela dit tout va bien, des solutions existent, qui doivent prendre en compte les aspects humains, procéduraux et technologiques.

Il faut juste prendre les choses au sérieux et traiter l’information à sa juste valeur…enfin.

Et pour ceux qui aurait oublié (!)…un rappel sur ce qu’est une ordonnance en droit constitutionnel.

Les grandes attaques virales ou méga campagnes de spam ont clairement tendance à se raréfier. Différentes raisons à cela : meilleur niveau de protection globale (mais encore loin d’être parfait…), un embryon de prise de conscience des risques du net, plus vraisemblablement une baisse des retours sur investissements pour les cyber-criminels et reports vers d’autres médias comme les réseaux sociaux et bien entendu, les smartphones.

Mais les choses évoluent, notamment vers des attaques très ciblées, ayant un but précis.

Et côté cyber-espionnage, on fait plutôt dans le furtif !

Ce n’est cependant pas une nouveauté. Depuis quelques années, nous voyons bien cette tendance s’affirmer et avons pu en dégager un modus operandi générique, qui se présente comme suit, avec quelques contre-mesures associées :

Etape 1, l’INCURSION :

Après avoir rassemblé suffisamment d’éléments, sur l’individu visé (parfois plusieurs), un message est envoyé, en provenance d’un émetteur plausible, sur un sujet du moment, poussant à ouvrir une pièce jointe ou cliquer sur un lien. Il est alors probable que le maliciel recherche et utilise une vulnérabilité existante sur le système (rare en effet sont les systèmes totalement à jour…) ou plus exceptionnellement une faille « 0Day ».

Dans la mesure ou la charge utile (et malveillante…) a été développée spécifiquement pour cette attaque, il y a très peu de chance qu’un anti-virus classique (donc essentiellement basé sur la détection de maliciels connus via leur « signature« ) ne détecte l’intru.

Contre-mesure : une technologie de détection basée sur la réputation sera beaucoup plus efficace contre ce genre de menaces : l’unicité d’un programme le rendant particulièrement suspect; une gestion fine des configurations limitera le nombre des vulnérabilités disponibles.

Etape 2, La DECOUVERTE :

Une fois derrière les murs, il s’agit d’identifier l’environnement et ainsi cartographier les accès, les serveurs, les réseaux, les systèmes de stockage…etc…etc…pour savoir comment progresser dans l’infrastructure et accéder à un maximum d’informations.

Contre-mesure : Le chiffrement des données, de répertoires rassemblant les informations sensibles, la gestion des accès aux documents, compliqueront considérablement ces opérations.

Etape 3, la CAPTURE :

Deux options ici, copier purement et simplement les documents présents et/ou mettre en place un autre maliciel (catégorie des APT : Advanced Persistant Threats), utilisant souvent des techniques de camouflages (rookits) pour rester en activité le plus longtemps possible. Leur travail va être de capturer, au fil de l’eau, différents types de données : ce qui est tapé au clavier, ce qui est envoyé par mail, ce qui est imprimé, et même en déclenchant le microphone de l’ordinateur (portable…) enregistrer les conversations alentour.

Contre-mesure : les technologies de détections de rootkits, un moteur de détection comportemental de dernière génération pourront identifier des activités étranges et la surveillance et la corrélation des évènements de sécurité à l’intérieur du réseau pourra identifier des incidents inhabituels.

Etape 4, l’EXFILTRATION :

Les informations copiées ou capturées doivent être « sorties » du réseau, sans attirer l’attention, et vers un ou plusieurs sites, pas forcément impliqués mais contrôlés à distance par les attaquants : ce n’est pas parce que l’adresse IP est au Groenland que le voleur est un ours blanc !

Contre-mesure : le filtrage de contenu en sortie de réseau permettra de détecter trafics et contenus étranges, chiffrés induement, vers des destinations nouvelles.

Bon, évidement, en vrai c’est largement plus compliqué, mais les moyens existent. Dès lors que l’on aborde le projet globalement, en prenant en compte les dimensions humaines, procédurales et technologiques, avec les moyens nécessaires, on peut arriver à un niveau de protection substantiel qui compliquera sérieusement la vie des cyber-barbouzes.

« Les ordres sont les suivants : on courtise, on séduit, on enlève et en cas d’urgence…on épouse ! »

Michel Audiard – Les Barbouzes.

Petite brève pour signaler que malheureusement les applications Android malveillantes ne se trouvent plus uniquement sur des « markets » parallèles, voir « underground » mais bien maintenant sur LE vrai « market android »

Avec le même type de fonctionnement et les mêmes possibilités ce celle décrites dans mon article précédent…

Ces applications auraient été téléchargées à plusieurs dizaine milliers d’exemplaires durant les 4 jours de présence, avant d’être retirées par Google.

Liste des applications infectées :

Editeur: kingmall2010

Applications:

• 掷骰子 Version 2.4.1
• 多彩绘画 Version 1.2
• Advanced App to SD Version 1.0.1
• Magic Strobe Light Version 1.0.1
• Advanced Compass Leveler Version 1.1.1
• Super Stopwatch & Timer Version 4.3
• Sexy Legs Version 1.0.01
• Sexy Girls: Japanese Version 1.0
• Bowling Time Version 1.8
• 软件强力卸载 Version 4.2
• Music Box Version 2.5
• Best password safe Version 1.0.5
• 墨水坦克Panzer Panic Version 1.0.0
• 裸奔先生Mr. Runner Version 1.0
• Hot Sexy Girls Version 1.0
• Super sex sound Version 1.3
• 致命绝色美腿 Version 1.0.01
• Super Bluetooth Transfer Version 2.30.1
• Advanced File Manager Version 1.1.0
• Advanced Barcode Scanner Version 1.0.1
• Task Killer Pro Version 1.0.1

Editeur : myournet

Applications:

• Spider Man Version 1.29
• 蜘蛛侠 Version 1.29
• Funny Paint Version 1.2
• Dice Roller Version 2.4.1
• 躲避弹球 Version 2.0.9
• Falling Ball Dodge Version 2.0.9
• Photo Editor Version 3.1.1
• Chess Version 2.6.1
• APP Uninstaller Version 1.6.0
• 几何战机_PewPew Version 1.5.3
• 下坠滚球_Falldown Version 1.0
• Falling Down Version 1.0
• Screaming Sexy Japanese Girls Version 1.0
• Hot Sexy Videos Version 0.1.10
• Super History Eraser Version 1.0.1
• Super Ringtone Maker Version 1.0.1
• Hilton Sex Sound Version 2.1.1
• Scientific Calculator Version 1.4.2
• Super Guitar Solo Version 1.0.1
• Super Sex Positions Version 1.0
• Advanced Currency Converter Version 1.0.1

Editeur : we20090202

Applications:

• Basketball Shot Now Version 1.4.0
• Omok – Five in a Row Version 3.1.1
• Super Sexy Ringtones Version 3.1.4
• 手指赛跑 Finger Race Version 1.4.5
• Magic Hypnotic Spiral Version 2.0.0
• Quick Notes Version 2.1.1
• 投篮高手 Version 1.4.0
• Quick Delete Contacts Version 1.0
• Advanced Sound Manager Version 2.0.0
• Color Blindness Test Version 2.1.1

A vérifier également la présence de « com.android.providers.downloadsmanager » (DownloadManageService) dans les paramètres “running services“ du smartphone.

Selon une étude publié en janvier dernier par le Gartner Group, le marché des applications pour smartphones se porte plutôt bien !

Quelques chiffre$ :

• 5 milliards de revenu généré en 2010
• 15 milliards de revenu estimé pour 2011, soit 190% d’augmentation
• 8,2 milliards d’applications téléchargées en 2010
• 17,1 milliards d’applications le seront en 2011
• Et près de 185 milliards de téléchargements depuis l’origine en 2008, à l’horizon 2014
• Le tout pour un total de plus de 50 milliards de chiffre d’affaire en 2014 !

OUF ! ça calme…..même en imaginant une sur-estimation de moitié, bref, cela en fait des sous !

Et là, les cyber-criminels se diraient : « bah, on a déjà assez gagné d’argent via les ordinateurs personnels, on va laisser les smartphones tranquilles« .

Sérieusement ?

Parlons maintenant de notre dernière trouvaille, j’ai nommé Android.Pjapps, cheval de Troie, qui en l’occurrence a été inséré dans l’incontournable application « Steamy Window » pour en créer une version infectée, disponible sur les marchés Android « parallèles »…pourtant absolument infréquentables, cela va sans dire.

Mais bon, certains s’y approvisionnent quand même et voilà le travail : un cheval de Troie Android, capable de monter un botnet, d’installer d’autres applications, naviguer sur le net, ajouter des signets, envoyer des SMS (Smishing), bloquer des messages entrants (ceux du fournisseur d’accès) et même renvoyer les informations confidentielles à l’auteur (EMEI, numéro d’appareil, numéro de téléphone…).

Il est donc toujours plus important :

1. de se limiter aux « appstore, markets » officiels ou le risque d’obtenir une application malveillante est bien moindre
2. de lire attentivement les demandes d’autorisation des applications
3. de s’intéresser à la protection des nouveaux appareils connectés, à titre personnel et professionnel.
4. d’envisager la mise en place d’outils de protection…il y en a…

…de sécurité !

Sauf dans le secteur bancaire, mais on s’en doutait.

Champ : sociétés de 10 salariés ou plus, France métropolitaine. Source : Insee, enquête TIC 2010, statistique publique

Et selon cette étude récente de l’INSEE que l’on peut trouver (avec tout plein d’autres statistiques intéressantes…) in extenso ici :

« Enquête sur les technologies de l’information et de la communication et le commerce électronique 2010« 

Je rappelle, à toutes fins utiles, qu’après l’analyse de risques, les politiques de sécurité sont LA BASE sans laquelle aucune vraie sécurité n’est possible.

Et comme selon ces chiffres, près de 80% des entreprises n’en auraient pas….cela donne une bonne idée de la situation !

Sachant qu’il ne s’agit pas d’une étude sortie par un vilain-éditeur-de-solutions-de-sécurité-informatique, qui fait ça rien que pour faire peur et vendre ses disquettes* !

« La politique a pour fin, non pas la connaissance, mais l’action. »

Aristote.

* disquette : pour les moins de 20 ans, c’est comme une toute clef USB toute plate, sur laquelle on ne pourrait…..plus rien mettre (1,44 Mo).